Servers Britse Labour Party waren doelwit van ddos-aanval

De Britse Labour-partij kreeg op maandag te maken met een ddos-aanval. De online diensten van de partij waren een tijd lang vertraagd en in sommige gevallen offline. Overheidsbronnen van The Guardian vermoeden dat er geen staatshackers achter de aanval zaten.

The Guardian schrijft dat het ging om de online campagne- en verkiezingstools die de partij inzet in de aanloop naar de parlementsverkiezingen op donderdag 12 december. Die zouden 'gedurende een zeer korte periode' aangevallen zijn. De uitwerking van de aanval was voor de partij groot genoeg om zelf een bericht naar zijn campagnevoerders te sturen en ze daarin te informeren over waarom de diensten langzamer of offline waren.

Labour heeft ook het National Cyber Security Centre ingelicht. De partij benadrukt verder dat de gegevens van kiezers niet zijn buitgemaakt door de daders. Labour maakt gebruik van Cloudflares content delivery network en ddos-bescherming. Partijleider Jeremy Corbyn omschreef de aanval als 'zeer serieus' en stelde dat hij 'nerveus' was als dit het begin was van meer van dit soort aanvallen, schrijft de BBC.

Mogelijk politiek gemotiveerde ddos-aanvallen zijn niet nieuw. Eerder dit jaar kreeg bijvoorbeeld Ecuador naar verluidt te maken met ddos-aanvallen sinds dat land het asiel van Julian Assange opschortte. Middelen om een ddos-aanval uit te voeren zijn echter relatief goedkoop, waardoor een ddos-aanval niet alleen kan worden uitgevoerd door staatshackers, maar ook door een baldadige tiener.

Reacties (30)

Gameboxing 12 november 2019 16:38

Sinds wanneer werkt cloudflares ddos protection niet meer? Ik meen me te herinneren dat het de beste was.

Cergorach

Networking en security

@Gameboxing • 12 november 2019 17:46

Sinds wanneer werkt cloudflares ddos protection niet meer?

Het issue is dan ook niet Cloudflare, maar de servers van de partij zelf:
https://support.cloudflar.../115003011431#502504error
De Host geeft een 502 error en niet Cloudflare zelf. Zoals @PolarBear al aangeeft, waarschijnlijk is de server onder aanval vanuit een andere site die geen cloudflare gebruikt.

PolarBear @Gameboxing • 12 november 2019 16:55

Het is net als andere cloud diensten, je moet het wel goed inzetten. Als je bijvoorbeeld een subdomein niet laat proxyen door CloudFlare ben je alsnog kwetsbaar.

Ander voorbeeld, ik heb een aantal leveranciers die nu naar Azure zijn gemigreerd. Allemaal mooi en aardig maar als je de applicatie een-op-een naar de cloud gooit dan heb je weinig voordelen. (Geo)-redunancy, auto scaling, het vereiste ook config en aanpassingen in je applicatie.

Tools als CloudFlare maken het makkelijker en goedkoper om je tegen DDOS aanvallen te beschermen maar het is geen set-en-forget, hoe graag men dat ook gelooft.

jeroenvisser101 @PolarBear • 12 november 2019 18:38

Ze hebben inderdaad nog zat subdomeinen die niet via Cloudflare gaan. Buiten dat, als ze na het migreren niet een nieuw IP gebruiken, heb je nog steeds niks aan Cloudflare.

Mellow Jack @PolarBear • 12 november 2019 19:01

En zelfs dan nog... Welke externe beveiliging je ook hebt. Uiteindelijk heb je de plek waarop je het host en die plek heeft meestal ook een DNS naam (vaak een vrij ingewikkelde) en sowieso altijd een ip adres wat je gewoon nog kan DDOSen

Gameboxing @PolarBear • 12 november 2019 21:06

Maar dit zou dus duiden op ofwel bezuinigingen op IT bij de labour party of een slordige systeembeheerder/setup?

wildhagen

Politiek en recht
Verenigd koninkrijk
Networking en security

@Gameboxing • 12 november 2019 16:39

Een DDoS is niet altijd 100 procent af te slaan hoor. Ook CloudFlare kan de pijp aan Maarten geven als de aanval maar hevig genoeg is (lees: lang genoeg duurt en voldoende bandbreedte vraagt).

CloudFlare is een hulpmiddel dat vaak kan helpen (al is het maar de pijn verlichten), maar het is geen wondermiddel dat alles kan tegenhouden.

calvinturbo @wildhagen • 12 november 2019 16:47

In principe zou CloudFlare alleen de geest moeten geven als de dienst zelf de geest geeft en niet alleen bij een individuele website, dus ik vraag me af wat hier aan de hand is..

Horatius @calvinturbo • 12 november 2019 17:17

Als cloudflare de geest geeft dan geven enorm veel websites de geest en een groot deel van het internet.
Als ze moeten kiezen tussen 1 server laten neergaan of dat het halve internet enorm traag wordt dan is het wel duidelijk waar de praktische en economische voorkeuren liggen.

OxWax @Horatius • 12 november 2019 17:49

CF zou toch kunnen load balancen?
Dus meer naar die server waar problemen zijn.

[Reactie gewijzigd door OxWax op 23 juli 2024 15:32]

miyazakiman @OxWax • 12 november 2019 18:39

Als je het IP van de server hebt kun je die gewoon direct aanspreken en omzeil je zo CF.

OxWax @miyazakiman • 12 november 2019 19:24

Zo makkelijk te omzeilen?

jordynegen11 @OxWax • 12 november 2019 23:10

Daarom is het van belang dat je het echte IP adres geheim houd en al het verkeer via Cloudflare laat afhandelen.

Het trouwens hebben van het echte IP is niet de omzeiling maar de manier waarop deze verkregen is.

[Reactie gewijzigd door jordynegen11 op 23 juli 2024 15:32]

Tokkes @Gameboxing • 12 november 2019 18:28

DDoS protection is gewoon puur 'slecht' verkeer afvangen en doorsluizen naar iets anders dat niet het eigenlijke target is. Je dient dus nog steeds voldoende verkeer te kunnen genereren.

Het Cloudflare netwerk kan blijkbaar 30 Tbps aan, of 30 000 Gbps. Even googlen leert dat een gemiddelde DDOS aanval 25 Gbps genereert.
Dat zijn 'gewone' DDOS aanvallen waar gecompromitteerde machines verkeer genereren, dus.
Voor je roept "jamaar da's ocharme 0.1% van wat Cloudflare aan kan" - Cloudflare kan 30 Tbps over het hele netwerk aan. Dus: legitiem verkeer naar AL hun klanten, en daarnaast het DDOS verkeer afvangen.
Volgens https://www.digitalattackmap.com/ is er gemiddeld zo tussen de 4 en 6 TBps aan DDOS verkeer de laatste paar maanden.

Echter, 25Gbps is niets. Een Reflective DDOS of DrDOS aanval genereert al heel snel het tienvoudige daarvan.

[Reactie gewijzigd door Tokkes op 23 juli 2024 15:32]

henk717 @Gameboxing • 12 november 2019 19:14

Sinds het begin van cloudflare als je gebruik maakt van cPanel of de subdomeinen niet afschermt.
In dit geval resolved mail.labour.org.uk naar een ander IP-adres dat ik momenteel niet kan bereiken, zou prima kunnen dat de aanvallers via die weg binnen gekomen zijn. MX Records kunnen ook leuk zijn dus zorg altijd dat je ook die niet direct naar je webserver verwijst. De truuk voor cPanel zal ik niet specifiek noemen omdat ondanks dat ik deze jaren geleden aan cloudflare heb gemeld zij er niets mee hebben gedaan (Behalve mij een t-shirt sturen als dank) maar ga er van uit dat meer dan de helft van de cPanel hosts kwetsbaar zijn en ik prima bij de bron kan komen via een extreem eenvoudige truuk die gelukkig niet door de publieke bypass services wordt gebruikt.

aval0ne @Gameboxing • 12 november 2019 16:57

Wie zegt dat het niet werkt?

Cergorach

Networking en security

12 november 2019 17:58

Ik vraag me af of dit vanuit een interne hoek komt (pro Brexit facties) of een externe hoek (partijen die gebaad zijn bij een UK die een slechte relatie met de EU heeft, zoals de VS, Rusland en China). De conservatives (Pro Brexit) en de labour party (we kijken wel en willen eigenlijk nog deel zijn van een goede handels overeenkomst/zone) zijn de grootste partijen in de UK, waardoor een ddos op labour een groot voordeel geeft aan de pro Brexit partij(en).

@Elefant Het is een goedkope manier om mensen politieke informatie te ontzeggen en gecoördineerd zieltjes winnen te verstoren. Er zijn momenteel drie grote externe partijen die baat hebben bij een zwakkere alliantie van EU en UK, allemaal voor verschillende redenen. Wellicht dat Frankrijk er als interne partij er baat bij heeft, maar zij verliezen ook een hoop in een algehele zwakkere alliantie, ik sluit dat natuurlijk niet uit, maar zou het bijzonder dom vinden...

Conspiracy denkers, misschien, het is niet iets waar ik mij aan vastklamp, maar het zou me ook niets verbazen. Het zouden net zo goed een aantal pubers kunnen zijn uit de Jordaan (Amsterdam)... ;-)

ps. Een zware regenbui op de dag van de verkiezingen heeft wel degelijk een enorme impact. Mensen zijn erg gesteld op hun vrijheden, totdat ze er moeite voor moeten doen of er nat van worden... ;-)

[Reactie gewijzigd door Cergorach op 23 juli 2024 15:32]

Mellow Jack @Elefant • 12 november 2019 19:09

Kijk maar eens naar "the great hack" op Netflix.
Het gaat niet zozeer om de massa maar om dat selectieve groepje personen die overgehaald kunnen worden en daadwerkelijk invloed kunnen hebben op de stemming. De rest kan je negeren en zo hou je hele kleine plukjes mensen over die je direct kan targeten.

Nu zeg ik niet dat het hier ook zo is maar het is wel een enorm interessant gebied. Het mooiste voorbeeld is niet het richten op het vergaren van stemmen maar juist ervoor zorgen dat de tegenpartij niet gaat stemmen

Elefant

Verenigd koninkrijk

@Mellow Jack • 12 november 2019 22:28

Je vergeet nog steeds uit te leggen hoe dat een DDOS aanval de Brexit bevordert, je kan net zo goed het tegendeel beweren.

Bij DDos aanvallen heb je denk ik een paar motieven.
- Opgeschoten jongeren die hun macht willen demonstreren.
- Criminelen die geld proberen af te persen van bedrijven. Dat lijkt me hier niet van toepassing.
- Andere landen zwart maken en de eigen slagkracht testen. Hier ook niet erg waarschijnlijk.

Reken maar dat er heel wat aanvallen worden gepleegd om de laatste reden. Wapens moeten nu eenmaal getest worden en daarbij schuif je de schuld natuurlijk op een andere partij. Je kunt anders namelijk nooit weten hoe effectief die wapens zijn.

Ik verdenk de Amerikanen van de grote aanval op Maersk. De Amerikanen houden namelijk van erg grootschalige tests en zijn daar volstrekt gewetenloos in. Denk ook aan atoombom test op Japanse burger bevolking en laten eigen leger. De Russen hebben een veel beperktere capaciteit en zullen hun slagkracht eerder verborgen willen houden en zich achter criminele operaties verschuilen. Daarbij laten de VS graag Europese bedrijven schade lijden ("onze zogenaamde vrienden"). Bovendien is het een erg geavanceerd wapen.

Maar deze kleinschalige DDOS aanval op de labour party heeft geen enkele zin behalve misschien de Engelsen te overtuigen dat het Brexitkamp een stel criminelen zijn die alles doen om hun zin door te drukken. Er is een walgelijke propaganda aan de gang vanuit de EU tegen als wat riekt naar nationalisme en onder hun juk wil uitwringen. De EU heeft zich nog lang niet neergelegd bij de Brexit.

Wat betreft de Fransen, maak je geen illusies. Het is echt naief om te denken dat die Europees belang stellen boven nationaal belang. Dat hebben ze nooit gedaan en dat zullen ze nooit doen. Na de val van de Soviet Unie zijn er diverse pogingen geweest vanuit Rusland om aansluiting te zoeken bij de EU. Dat zou de EU de machtigste op Aarde maken. Maar de Fransen zeiden direct al: Jamais! Of wel de Russen komen er nooit in. Want dan zou het een onderonsje worden van Duitsland en Rusland en Frankrijk zou zijn macht verliezen.

Op dit moment is Frankrijk de machtigste natie binnen de EU, omdat Duitstland steeds maar met zijn Nazi-verleden om de oren wordt geslagen kan die nooit zelfstandig iets doordrukken zonder de steun van de Fransen. Kun je ook zien bij de laatste verkiezingen in de EU. de Fransen hebben op alle fronten hun zin gekregen.

Engeland is de grote tegenspeler in de EU en ze zijn vast blij dat ze daar van verlost zijn (met name omdat Frankrijk door zijn niet sluitende begroting nogal om EU steun verlegen zit). De Noordelijke landen juist niet. Eigenlijk wilden ze het VK er nooit bij hebben. Het waren de Nederlanders (Luns) die eindeloos bij Adenhauer hebben lopen lobbyen om het VK toe te laten. Het zijn ook de Nederlanders die het meest balen dat ze eruit stappen. Dus als gelooft dat de DDOS aanval dient om de brexit te verhinderen mag je Nederland aan het lijstje toevoegen. Maar ik geloof er allemaal geen spat van. Ik denk dat een tiener met een hekel aan Labour het meest waarschijnlijk is.

[Reactie gewijzigd door Elefant op 23 juli 2024 15:32]

Pietervs @Elefant • 13 november 2019 00:18

Er zijn altijd meerdere kanten/mogelijkheden aan ieder verhaal.
Zo mis ik nog de optie:
- "kijk eens, we zijn zo goed bezig dat onze tegenstanders uit pure angst ons uit de lucht proberen te halen"

Gezien de knulligheid, de beperkte aanval en de enorme ruchtbaarheid die er aan gegeven is, zou me dat eigenlijk niet eens echt verbazen...

cricque 12 november 2019 16:49

Er waren gisteren wel meerdere DDOS aanvallen en dit was niet alleen labour party. Versio had bijvoorbeeld ook met problemen te kampen. Google Cloud had in de namiddag ook uitval van allerhande services. Dus er was wel wat meer aan de gang dan de alleen de servers van de Britse Labour partij als je het mij vraagt

K-aroq 12 november 2019 21:17

Aanval van de Brexit party van Farage? Die heeft gisteren toevallig aangekondigd waar ze gaan meedoen en wie ze willen bestrijden bij de komende verkiezingen (de labour party).